慧御云防护：2022年度报告

前言

2022年，全球重大网络安全事件频发，供应链攻击、勒索软件攻击、业务欺诈、关键基础设施攻击、大规模数据泄露、地缘政治相关黑客攻击等网络犯罪威胁持续上升。

2022年我国发生多起重大网络攻击事件。如北京健康宝遭受境外网络攻击事件，西北工业大学遭美国国家安全局网络攻击，中国台湾地区个人信息被放在网上兜售，经调查至少20万条真实，蔚来汽车披露数据安全事件：部分数据遭窃取被勒索1567万元。

没有网络安全就没有国家安全，我国近年相继颁布了一系列网络安全法律法规，包括《网络安全法》、《数据安全法》、《网络产品安全漏洞管理规定》、《个人信息保护法》等，尊重网络主权，维护网络安全，共同构建和平、安全、开放、合作的网络空间。

云盾智慧安全科技有限公司以“成为客户信赖的智慧安全守护者”为企业愿景。积极承担起研发、创新任务，担当起网络安全核心技术突破的主力军作用，守护好网络安全底线。

基于此，慧御云防护团队发布《2022年度报告》。本报告将基于全年慧御网站安全云防护产品监测到的网络攻击行为与事件，结合多年累积的威胁情报信息，针对ddos攻击、扫描、cc攻击、爬虫、Web攻击等行为进行分析和汇总，增强网络安全意识，注重对网络安全问题的预防。

ddos防护年度总览

全年ddos攻击类型分布

DDoS攻击类型主要为ACK-Flood、SYN-Flood，远超其他类型，占全部类型的94%。（由于云防护只提供TCP接入服务，所以UDP类型DDoS攻击未在统计范围内）。

1-12月DDoS攻击类型占比较多分布

全年DDoS攻击自境外国家分布

境外国家发起DDoS攻击数量排名前5的为美国、荷兰、德国、俄罗斯、英国。其中来自美国的DDoS攻击占比高达44%。

1-12月DDoS来自国外国家分布

全年DDoS攻击来源国内分布

国内DDoS攻击来源地区前5为香港、江苏、浙江、河南、广东。

1-12月DDoS来自国内地区分布

扫描防护年度总览

全年扫描防护量分布

1-12月扫描防护量呈递增趋势。随着云防护对扫描防护能力的持续升级,越来越多用户开启防扫描防护，扫描防护量递增明显。

1-12月扫描防护拦截量分布

全年扫描自国外分布

国外的扫描主要来自美国、日本、芬兰等国家，其中美国的占比95%。

1-12月扫描防护拦截境外国家分布

全年扫描自国内地区分布

来自国内的扫描请求主要来自河南、北京、上海、浙江、广东。

1-12月扫描防护拦截国内分布

爬虫防护年度总览

全年爬虫防护量分布

1-12月每月防护的爬虫请求1亿+。随着云防护反爬能力的强力升级，针对恶意爬虫的防护量增加明显。其中11/12月爬虫防护量突增，主要原因为该时间部分用户面临恶意爬虫大量请求，网站可用性受到严重影响，在紧急接入云防护服务并开启反爬服务后，网站的可用性恢复正常。

1-12月爬虫防护拦截量分布

全年搜索引擎爬虫分布

1-12月来自搜索引擎爬虫的请求占比分布如下图所示。其中前3位的为国内厂商，为百度、字节跳动和神马搜索，合计占比高达83%。其中百度为国内PC端搜索引擎老牌厂商，字节跳动作为新起之秀，其搜索引擎爬虫请求大有追赶百度之势。

搜索引擎爬虫请求占比分布

用户习惯通过搜索引擎进行搜索，然后访问网站资源。网站为了自身在搜索引擎相关搜索页的正常展示，一般会对搜索引擎爬虫进行放行。因此部分非法爬虫会通过伪造搜索引擎User-Agent尝试绕过网站的防护。1-12月被伪造的搜索引擎爬虫请求占比分布如下图所示。通过图中可以看到，非法爬虫一般会拿百度的搜索引擎爬虫User-Agent作为自身访问User-Agent。

被伪造搜索引擎爬虫请求占比分布

全年爬虫自国外分布

国外的爬虫请求主要来自美国、韩国和印度。其中美国的占比高达86%。

1-12月来自境外国家爬虫占比较多分布

全年爬虫自国内地区分布

来自国内的爬虫请求主要来自河南、北京、上海、浙江、广东。爬虫使用者倾向于在IDC机器内部署爬虫服务，根据中国数据中心数据，这些地区的IDC数量排名靠前。

1-12月爬虫国内地区占比较多分布

cc防护年度总览

全年CC攻击防护量分布

CC攻击通过频繁访问消耗网站资源的地址，导致网站资源耗尽，无法正常对外提供服务。

1-12月每月都有针对各个行业网站的CC攻击被防护。每月防护的CC攻击量50亿+。CC攻击的目标是让网站无法提供正常服务，建议网站管理员时刻关注网站负载情况，及时配置CC防护。

1-12月CC防护量分布

全年CC攻击自国外分布

国外发起的CC攻击主要来自美国、俄罗斯、新加坡、德国、韩国等国家。其中美国占比最多，高达41%。

1-12月CC来自境外国家分布

全年CC攻击自国内地区分布

国内发起的CC攻击主要来自江苏、福建、安徽、北京、浙江等地区。

1-12月CC来自国内省份分布

Web攻击防护年度总览

全年新增Web规则CVE数分布

1-12月每月都有公开的涉及网站安全的CVE漏洞，网站安全防护不容松懈。针对最新CVE漏洞，云防护安全团队第一时间提供漏洞防护及修复解决方案。提醒网站管理员第一时间对涉及漏洞网站组件进行修复。

1-12月公开涉及网站安全CVE漏洞数量

全年Web攻击数量分布

1-12月每月拦截的Web攻击6亿+，每月拦截Web攻击占总请求的千分之八以上。Web攻击占比虽然不高，但由于Web攻击的高危性，一旦攻击成功，将对网站造成重大影响。云防护安全团队时刻关注国内外针对网站的Web攻击情报，为网站保驾护航。

1-12月Web攻击数量分布

全年Web攻击类型分布

Web攻击使用最多的方法为异常协议请求，占比60%+，除此之外的主要类型为通用组件漏洞、扫描器扫描等。

1-12月Web攻击占比较高类型

对应OWASP TOP10的漏洞类型占比分布如下，其中排名前3的为危险或过旧的组件（Vulnerable and Outdated Components）、注入式攻击（Injection）、加密机制失效（Cryptographic Failures）。

OWASP对应类型占比分布

异常协议请求中包含针对Web Server解析HTTP请求能力的扫描请求及各种开放服务的扫描请求。其中开放服务的扫描请求主要为RDP扫描、RTSP扫描、MSSQL扫描、SMB扫描、JRMI扫描、SIP扫描、Krbtgt扫描、Redis扫描。

开放服务扫描请求分布

随着越来越多网站对IPv6访问支持，目前针对网站的Web攻击既有来自针对IPv4的，也有来自IPv6的。其中IPv6的IP使用的Web攻击类型主要为扫描器扫描、通用组件扫描、SQL注入、备份文件攻击、本地文件包含。IPv4的IP使用的Web攻击类型主要为扫描器扫描、SQL注入、本地文件包含、信息泄露攻击、备份文件攻击。

IPv6的IP主要Web攻击类型分布

IPv4的IP主要Web攻击类型分布

全年Web攻击境外国家分布

国外发起的Web攻击主要来自美国、荷兰、俄罗斯、英国、德国等。其中美国占比高达63%。

1-12月境外Web攻击占比较高国家分布

全年Web攻击来源省份分布

国内Web攻击来源包含国内主要地区。其中经济排名靠前的地区Web攻击较多。

1-12月国内Web攻击占比较高省份

全年Web攻击使用CVE分布

使用历史CVE漏洞进行Web攻击的占比较多，排名Top5 的为 2019、2013、2012、2017、2016 年公开的CVE。这些CVE对应的为struts2、weblogic等在历史上影响范围大、利用条件宽松的漏洞，开源平台存在许多基于这些漏洞开发的扫描器，这些扫描器获取门槛低，易用于攻击，易被广为利用，故攻击量较多。随着国家和企业对网络安全的重视，新漏洞多数情况下更容易引起企业重视并被积极修复。“历史CVE“虽然年代久远并不代表其对应的漏洞威胁减弱，正因为是历史漏洞，反而因年代久远而被容易被忽略，导致漏洞被利用，建议网站管理员及时修复网站组件涉及的安全漏洞。云防护安全团队时刻保持对公开的CVE漏洞跟踪并及时提供对应漏洞防护能力。

1-12月Web攻击使用较多年底CVE分布

用户自定义策略防护年度总览

端口扫描防护

在互联网中攻击者会无时不刻的对网站的各个端口进行扫描，未接入云防护的主机，可能因误操作或临时性业务，在服务器上开放某些特别的端口，导致敏感资产暴露给攻击者。

接入云防护后，只有通过云防护配置、开通的端口，才会在互联网上暴露，而对未通过云防护开通端口的请求则会被拦截，据统计云防护每月拦截了4亿+针对网站开放端口的探测请求，针对非标端口（80/443）的请求，云防护默认强制拦截，阻止针对用户端口的非法访问。

1-12月端口防护拦截量分布

URL访问控制

URL访问控制可以针对指定URL进行访问授权控制。

在HW等特殊时期，可以通过该配置，及时阻断异常IP访问。云防护的一键配置、导入功能可以帮助用户快速、批量导入大量IP，减少人工配置的时间开销。

对于网站存在的后台登陆、管理等敏感URL，由于涉及网站敏感数据，访问者固定，网站管理员可以通过主动配置URL访问控制，避免网站被撞库登陆等问题，尽可能降低网站的安全风险。

目前云防护的URL访问控制每月帮助网站拦截2亿+非授权的请求。其中7月和10月URL访问控制拦截量偏高。推断跟7月HW，10月20大召开有关，在重要活动时间点，用户倾向于设置较严格的防护策略。

1-12月URL访问控制拦截量分布

地域封禁

对于部分网站，由于网站访客地域位置确定，比如某些省内站点，其访客主要为省内用户，通过云防护的地域封禁可以配置只允许本省用户访问。

通过前述防护数据可以看到，来自国外的攻击不间断，对于不需要国外访客访问的站点，也可以通过云防护的地域封禁禁止国外地区访问本站，减少安全风险。

云防护的地域封禁每月帮助网站拦截近1千万+非授权请求。

1-12月地域封禁拦截量分布

云防护用户年度总览

用户覆盖广

除港澳台外全国所有省、自治区、直辖市都有正式使用云防护服务的用户。其中来自重点经济地区的用户数较多。

政企网站居多

使用云防护安全服务的网站中，以政府网站居多，占比超过50%，其次是企业用户。其中既有国家/省重点单位门户网站，也有重点行业头部企业门户网站。云防护的安全防护能力赢得政企用户信赖。

云防护用户行业分布

工作日请求居多

云防护每日处理的总请求中，来自工作日时间总请求较非工作日时间总请求增长40%以上，推测政企类用户网站的正常请求主要集中在工作日时间。建议用户重点关注工作日期间网站负载等信息，非工作日时间可以设置较严格的安全策略。

IPv6兼容比率偏低

已接入的重点网站中，支持IPv6访问的网站占比36%，每日IPv6的访问占比2.5%。云防护支持网站后端不做任何修改的情况下支持网站IPv6访问，且能有效解决IPv6下“天窗”问题，目前已开通“天窗”服务的用户在支持IPv6访问用户中占比20%。建议网站管理者响应相关政策要求，尽早配置本网站支持IPv6访问。

无证书比率较高

已接入的重点网站中，支持HTTPS访问的网站占比35%。鉴于HTTP访问的不安全性，建议网站管理者尽早配置本站支持HTTPS访问。云防护的SSL证书签发服务，可以满足网站获取证书及证书可信问题。

扫描/爬虫请求不间断

针对网站进行的扫描请求/爬虫请求每天持续发生。其中扫描请求既有来自恶意IP的恶意扫描，也有来自第三方监测服务/监管单位的扫描。爬虫请求既有来自搜索引擎的请求，也有来自第三方有目的的爬取网站数据的恶意爬虫请求。云防护的防扫描服务可以有效防护针对网站的恶意扫描请求。云防护的反爬虫服务可以有效防护网站免受恶意爬虫骚扰。

对API安全重视不够

部分网站使用的API缺少安全防护机制。在包含登录页面的网站中，有10%的网站登录页面无任何安全验证机制（验证码、短信等）。这类网站的登录接口API在接入云防护前无任何保护机制，面临暴力破解等安全风险。建议云防护用户主动开启API防护等安全防护功能。

云防护产品大事件年度总览

IPv6零修改支持

随着国家对IPv6改造的重视，目前很多网站无法满足IPv6访问的要求。对于网站管理者来说，全部进行IPv6升级改造，风险大，成本高。为了有效解决这个问题，云防护的IPv6转换服务，即能满足用户本地环境无需改造即可支持IPv6访问需求，又能解决IPv6下天窗问题。

虚拟化下网站安全有保障

随着虚拟化技术的推广应用，越来越多用户将网站部署在虚拟化平台，针对虚拟化平台上的Web网站安全防护痛点，云防护的vWAF版本可以有效保障Web网站在虚拟化平台的安全。

国产化环境全面兼容

为响应国家国产化安全的号召，云防护积极适配国产化环境，云防护的信创版本可以有效解决国产化环境下的Web网站安全防护痛点。

国密证书全面适配

随着《中华人民共和国密码法》颁布，越来越多网站开始支持国密证书，云防护主动适配国密证书场景，目前已支持国密证书和非国密证书同时使用。

反爬能力强力升级

为了有效解决网站面临的爬虫困扰，云防护安全团队通过日常的安全对抗经验，对爬虫防护功能进行强力升级，进一步增强对爬虫的防护能力。

重保只读全面优化

在HW等重大活动保障期间，对于动态交互较少的网站，通过云防护的重保只读功能可以将网站镜像到云防护节点，帮助网站源站在特殊时期既能屏蔽所有请求，又能正常对用户提供服务。

云防护通过采用分布式自适应系统抓取页面，保证抓取效率的同时降低对网站资源的消耗，智能化监控分析系统可以自动补全缺失、异常页面。对于动态生成的页面，通过动态模拟技术，可以最大程度保证镜像网站的完整性。

API防护持续投入

API作为标准的业务接口，在用户业务中无处不在。由于API提供了对大量数据的直接访问，API安全问题往往会引起严重的数据泄露问题。

云防护的API安全防护功能依托云防护多年的安全防护经验，通过海量数据学习。为网站下的API提供全方位的资产视角及安全防护能力。

业务安全持续研究

Web网站作为用户业务的一种载体，是对外正常提供服务的关键组件。Web网站中的业务安全问题往往会导致严重的经济损失及数据损失。

云防护基于多年攻防经验，持续总结安全防护能力，依托大量数据学习，针对网站面临的业务安全问题，持续进行研究投入，通过云防护的业务安全功能可以针对网站业务安全提供多样化的安全防护能力。

云防护运营大事件年度总览

冬奥会网站安全保障

北京作为唯一的双奥之城，在2022年成功举办了冬奥会。云防护团队有幸参与了北京冬奥会部分网站的安全防护保障。在保障期间，云防护运营团队7X24小时随时待命，紧密关注冬奥网站的状态。在冬奥期间，防护的网站未发生一起安全事故，未发生一起通报事件，为北京冬奥的成功举办贡献了力量。

健康码业务安全保障

2022年疫情持续发生，部分地区相继出现突发事件。面对突增的流量，部分地区的健康码业务稳定性出现问题，影响了用户正常使用健康码业务。

云防护团队紧急提供安全保障，运营团队第一时间跟用户进行沟通交流，详细了解用户业务现状，帮助用户提供安全防护建议。在使用云防护服务后，通过云防护的安全组件协同防护，用户健康码业务的稳定性、可用性恢复正常。其中针对某省的健康码业务提供的安全保障，赢得用户的感谢。

HW行动安全保障

随着《网络安全法》和《等级保护制度条例2.0》的颁布，国家对网络安全的重视越来越高。HW行动是为响应国家号召而发起的，旨在检验各大单位的网络安全防护水平和应急处置能力，近年来参与HW的单位不断增加。

得益于云防护在客户中的口碑及在历年HW活动中的优异表现，在今年HW当月及前月，云防护新接入用户环比增加50%。为了增强网站的安全防护能力，避免网站被红队攻破，很多用户在HW行动前主动选择使用云防护服务。在本年度HW行动中，未发生一起网站在云防护的防护下被攻破，整个HW行动期间，云防护继续保持零事故。

二十大安全防护保障

2022年中国共产党第二十次全国代表大会在北京顺利召开。作为本年度重要大会，不仅国内外重点关注，不法分子也企图通过攻击重点网站，影响用户享受二十大胜利召开的喜悦。

作为深受政企用户信赖的Web安全服务厂商，二十大召开当月，云防护新接入用户环比增加37%。云防护运营团队在二十大期间7X24小时随时在岗在线，针对用户执行重点监控策略，保障用户网站安全平稳运行。整个大会召开期间，未发生一起网站在云防护下发生安全事故事件。

云防护年度总览

资源持续升级

云防护机房稳定增长。通过持续优化及建设，目前云防护对外服务机房覆盖联通、电信、移动3大运营商，且包含BGP节点、香港节点、台湾节点。自有机房覆盖国内重点经济区域，可以为用户网站提供安全、稳定的网络服务。

云防护团队持续壮大。团队人员既拥有丰富的网络实战经验，也拥有丰富的安全防护及运维经验，可以第一时间帮助用户解决各种问题。

服务网站稳定增长

每天为全国1W+网站提供安全服务，每日处理来自1.5亿+IP发起的35亿+总请求,日拦截请求2亿+。帮助用户网站实时防护各类攻击。全年服务网站数量环比年初增长超过100%。

安全保障零事故

云防护积极参与重大活动的安全保障，北京冬奥期间为部分涉及冬奥网站提供安全防护服务，未发生一起安全事故。

在参与的国家、省、行业相关的HW活动及攻防演练中，防护的网站没有一个在云防护的安全防护下被攻破。

全力助力抗疫

疫情期间，为全国涉疫地区相关服务单位网站提供免费防护服务。承接了部分地区涉及健康码业务的防护。在某地区疫情突发期间，通过云防护的缓存加速、安全防护等功能，减少网站服务端70%的请求，有效保障了健康码服务的正常运行。多次收到来自用户的感谢信。

安全能力持续升级

面对用户不断变化的、多样化的安全需求及外部新的安全挑战，云防护团队持续进行安全防护能力的优化、升级，全年保持新版本、新功能稳定迭代更新。

针对用户面临的API安全、数据安全等需求，云防护持续进行研发投入，持续进行版本迭代升级，为用户提供最佳的安全防护体验。

安全研究持续跟进

云防护安全研究专家时刻关注国内外涉及网站安全的风险事件，第一时间针对最新安全风险事件提供主动防护，解决用户网站本地环境风险问题未修复时面临的安全风险问题。

云防护安全团队基于海量数据学习，主动构建基于IP的威胁情报信息，为用户提供多方位的安全防护能力。

总结与展望

回顾2022年云防护全年数据，可见Web网站时刻面对DDoS攻击、CC攻击、Web攻击等各种攻击，同时每年还会出现新的涉及网站安全的漏洞及利用方法。对于网站管理者来说，如果没有专业的Web安全服务进行保障，网站管理者需要时刻疲于应对各种安全风险问题。云防护强大的安全团队以及多样化的安全防护组件，能帮助网站有效防御各种攻击，降低网站安全运维的复杂度。

云防护的DDoS防护、CC防护可以有效抵挡大量攻击，避免网站的可用性受影响，时刻保护网站正常对外提供服务。

云防护的Web漏洞防护可以有效拦截各种有安全风险的请求，避免网站被攻陷、利用。云防护的安全研究人员针对最新漏洞能第一时间提供防护，避免网站漏洞修复不及时导致的安全风险问题。

云防护的爬虫防护、API安全防护、业务安全防护可以帮助用户保护网站数据安全，保护网站业务不受影响。

云防护的自定义控制可以有效满足用户多样化的自定义配置需求。云防护的URL控制、地域封禁等策略功能可以满足用户多样化的加黑/加白需求。

展望未来，随着国家对网络安全的重视及对用户业务合法合规要求，用户对网络安全的需求不断提高，对安全服务的要求也越来越高。可预见的是，未来将有越来越多的安全风险事件和安全漏洞发生。得益于云防护团队的安全服务能力，越来越多的用户信赖云防护服务，选择将网站的安全防护交给云防护。云防护团队对安全防护时刻保持敬畏之心，时刻关注最新涉及网络安全的法律法规及安全风险事件，不断升级安全能力，时刻准备好为用户提供安全可靠的满足监管的安全防护服务。

原文链接：https://www.163.com/dy/article/HQPSTC9D0538IIN0.html

原创文章，作者：优速盾-小U，如若转载，请注明出处：https://www.cdnb.net/bbs/archives/20968